GDPR: Bødeudmåling til private virksomheder

30. juni 2021
4 minutters læsetid
gdpr bødeudmåling

Der går rygter om at det koster millioner at overtræde GDPR, når der laves bødeudmåling. Det kan være sandt i nogle tilfælde, men det er ikke hele sandheden. Eksempelvis er det klare udgangspunkt at små virksomheder ikke skal frygte uproportionelle bøder, der sender virksomheden direkte i konkurs.

Du bør være opmærksom på, at det i sidste ende er domstolene der afgør den endelige bøde, hvis den ikke vedkendes af overtræderen. Det følgende er derfor alene af vejledende karakter.

Læs også: Datatilsynet indstiller kommune til bøde på 200.000

Læs også: GDPR: Bødeudmåling til det offentlige

Kort overblik

Datatilsynet sammensætter bøden efter følgende vejledende proces:

  1. Fastlægge standard grundbeløb
  2. Justering efter konkret vurdering af overtrædelsens karakter, alvor og varighed
  3. Skærpende omstændigheder
  4. Formidlende omstændinger
  5. Kontrol af at bøde ikke overstiger bødemaksimum efter loven
  6. Eventuel nedsættelse af bøde grundet dårlig betalingsevne

Når alle trin er gennemgået, når man det endelige bødebeløb.

Grundbeløbet

Datatilsynet vurderer hvor stor den maksimale bøde er for den pågældende virksomhed og overtrædelse. Derefter udregnes grundbeløbet for den aktuelle bøde som en procentdel heraf.

Den maksimale bøde er ca. 75 mio. kr. (10 mio. EUR) eller 2 % af den årlige globale omsætning for mindre alvorlige typer af overtrædelser, og ca. 150 mio. kr. (10 mio. EUR) eller 4 % af den årlige globale omsætning for mere alvorlige typer overtrædelser.

Standard grundbeløbet for bøden beregnes derefter med en procentsats alt efter hvor alvorlig en kategori af overtrædelsen, som der er tale om;

Kategori 1 og 45 % af bødemaksimumF.eks. dataportabilitet
Kategori 2 og 510 % af bødemaksimumF.eks. samtykke eller oplysningspligt
Kategori 3 og 620 % af bødemaksimumF.eks. følsomme oplysninger eller børn

For at undgå en skævvridning i hvordan bøderne påvirker forskellige størrelser af virksomheder, kan der foretages nedjustering af bøden for mikro, små og mellemstore virksomheder. I den forbindelse vurderer Datatilsynet både på omsætningen og markedsandelen for virksomheden.

Nedenfor kan du se et skema over grundbøderne for overtrædelse af mindre alvorlige forhold – dvs. hvor maksimalbøden er 75 mio. kr. Satser for alvorligere overtrædelser er det dobbelte.

Virksomhedens størrelseMaksimal justering
(ned til)
Kategori 1Kategori 2Kategori 3
Meget store virksomheder
(omsætning > 3,75 mia. kr.)
>3,75 mio. kr.>7,5 mio. kr.>15 mio. kr.
Store virksomheder
(omsætning ≤ 3,75 mia. kr.)
3,75 mio. kr.7,5 mio. kr.15 mio. kr.
Mellemstore virksomheder
(omsætning ≤ 375 mio. kr.)
Standard
grundbeløb x 0,1
≥ 375.000 kr.≥ 750.000 kr.≥ 1,5 mio. kr.
Små virksomheder
(omsætning ≤ 75 mio. kr.)
Standard
grundbeløb x 0,02
≥ 75.000 kr.≥ 150.000 kr.≥ 300.000 kr.
Mikro virksomheder
(omsætning ≤ 15 mio. kr.)
Standard
grundbeløb x 0,004
≥ 15.000 kr.≥ 30.000 kr.≥ 60.000 kr.
Kilde: Bødevejledning – Udmåling af bøder til virksomheder, Januar 2021, Datatilsynet

Skærpende og formidlende omstændigheder

Når grundbeløbet er fastlagt, kan det op- eller nedjusteres yderligere. Der gives her et kort uddrag af eksempler, men listen er ikke udtømmende.

Manglende sletning af store mænger persondata, når der ikke længere foreligger et legitimt behandlingsgrundlag, er tilsyneladende en særligt skærpende og praktisk relevant omstændighed. Dette forhold går igen i samtlige de store bødeindstillinger fra Datatilsynet til dato, hvor der er indstillet til bøder på over 1 mio. kr.

Det vil efter omstændighederne kunne anses for formildende, hvis virksomheden har truffet en række konkrete foranstaltninger med henblik på at begrænse skade for de berørte registrerede personer, eller på anden måde beskytte de registrerede og deres rettigheder. Det samme gælder, hvis der er udført passende tekniske og organisatoriske sikkerhedsforanstaltninger.

Endelig kan det være en formildende omstændighed, hvis virksomheden selv har anmeldt et forhold eller datasikkerhedsbrud til Datatilsynet. Omvendt kan manglende pligtmæssigt anmeldelse være skærpende.

Bødeloft

Datatilsynet påser naturligvis, at den konkret udmålte bøde ikke overstiger de maksimalbøder, som er fastsat i lovgivningen. Hvis virksomheden overtræder flere GDPR-regler ved samme eller forbundne databehandlinger, må bøden ikke overstige beløbet for den alvorligste overtrædelse.

Justering for dårlig betalingsevne

En nedsættelse af bøden grundet dårlig betalingsevne kan komme på tale, hvis bøden truer økonomien i hele virksomheden, eller hvis bøden er så stor i forhold til virksomhedens økonomi, at den muligvis medfører konkurs. Tilsynet kan også anvende betalingsudsættelse som alternativ til nedsættelse af bødebeløbet.

Denne nedjustering er en meget begrænset undtagelse, som kun bliver taget i betragtning hvis virksomheden selv anmoder om det. Nedjustering kræver også helt særlige omstændigheder og objektive beviser for at bøden med sikkerhed vil bringe virksomhedens overlevelse i fare og få dens aktiviteter til at miste værdi.

Endelig skal der tages stilling til virksomhedens sociale og økonomiske kontrakt – eksempelvis kan der ikke forventes bødenedsættelse, hvis overtræderen kan søge økonomisk støtte hos et moderselskab.

Denne artikel baserer sig på de bødeindstillinger, som Datatilsynet har offentliggjort til og med 24-06-2021 på tilsynets hjemmeside, samt den bødevejledning, som tilsynet udgav januar 2021.

Vil du vide mere om emnet, kontakt mig.

Du er altid velkommen til at henvende dig til os og få  en indledende drøftelse af din sag. Vi har stor erfaring i at analysere situationen og give dig råd om, hvad der er bedst at gøre.

Please enable JavaScript in your browser to complete this form.
Ring 8.00 - 16.00
+45 72 30 12 05
Eller skriv til os 24/7
mail@stormadvokatfirma.dk
cross